漏洞概述 漏洞名称:Private IP filtering bypass to make server-side requests to internal services 漏洞描述:当进行外部请求时,可以绕过IP过滤器,使得请求不会发送到内部服务,而是使用IPv6字面量映射到私有IPv4地址。 影响:可能导致内部服务被外部请求访问,存在安全风险。 影响范围 受影响版本:Ghost >= 6.0.9 且 <= 6.21.0 修复版本:6.21.1 修复方案 补丁信息:v6.21.1 包含对此问题的修复。 更新方法: - 对于使用Docker的自托管用户,请查找Docker的官方Ghost镜像页面。更新基于Docker的Ghost实例的文档在此处。 - 对于使用Ghost-CLI安装的用户,请参阅我们的文档,了解如何将其更新到最新版本。 其他信息 报告者:13chupkat 发布日期:2 weeks ago 严重性:5.8 / 10 CVSS v3 基本指标: - 攻击向量:网络 - 攻击复杂度:低 - 所需权限:无 - 用户交互:无 - 范围:已更改 - 机密性:无 - 完整性:低 - 可用性:无 参考链接 GitHub 链接:GHSA-wvp2-4qgp-4h3r 联系方式 如有任何问题或评论,请通过 security@ghost.org 联系我们。